공개 웹게시판 익스프레스 엔진서 XSS 취약점 발견!

인포섹, “취약한 버전 사용 시 개인정보 유출 등 피해 우려”

[보안뉴스 호애진] 종합정보보안전문기업 인포섹(대표 신수정)이 국내 PHP기반의 공개 웹 게시판인 익스프레스 엔진에서 XSS(Cross-Site Scripting) 취약점을 발견했다.

발견된 XSS취약점은 악의적인 스크립트가 특정 경로에서 실행 되면서 사용자의 쿠키값 탈취 및 공격자가 만들어 놓은 홈페이지로 유도해 추가적인 악성코드를 실행시킬 수 있다.

▲ 사용자 입력 값이 필터 되지 않는 소스 일부

영향을 받는 소프트웨어는 익스프레스 엔진 1.5.3.3 및 이전 버전으로 취약한 버전을 사용하고 있을 경우, XSS를 통해 개인 정보 유출 및 좀비PC가 되는 등의 피해를 입을 수 있다

이에 기존 익스프레스 엔진(1.5.3.3 및 이전) 사용자는 긴급 업데이트가 적용된 상위 버전(1.5.3.4)으로 업그레이드 하고, 익스프레스 엔진을 새로 설치하는 사용자의 경우 반드시 보안패치가 적용된 최신버전을 설치해야 한다.

해당 취약점은 패치 권고문이 배포된 상태로 (http://www.xpressengine.com/blog/textyle/21351939) 또는 인터넷침해사고대응센터(http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=1643)에서 다운로드 가능하며 전화 국번 없이 118을 통해서도 관련 안내를 받을 수 있다.

이번 취약점을 발견한 인포섹 관제사업본부 김정혁, 백종욱 사원은 해당 취약점은 “XE에서 모든 사용자의 입력값에 대한 보안 코드 부재로 인해 나온 오류”라며, “관리자들은 신속히 패치를 다운로드 받고 사용자들은 확인되지 않은 주소링크를 통해 게시판에 직접 접근하지 않도록 주의하는 한편, 익스플로러 옵션의 팝업차단 사용 및 인터넷 옵션의 개인정보 설정을 ‘높음’ 레벨로 조정해 피해를 예방해야 한다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)